渠道高级认证知识培训之集群部署模式知识培训

SANGFORSSLVPN集群部署培训培训内容培训目标集群部署模式1、了解集群的相关概念2、掌握集群支持的部署模式负载均衡集群1、掌握负载均衡集群的部署模式及各模式下

的工作方式。2、掌握负载均衡集群各个模式的配置思路及

配置步骤。分布式集群1、了解分布式集群的功能及工作方式。2、了解分布式集群的配置步骤。集群部署的注意事项1、掌握集群部署的注意事项集群部署模式介绍深信服公司简介集群部署模式配置集群授权及部署注意事项SANGFORSSL集群分布式集群功能介绍集群名词解释集群(cluster)就是一组设备的组合，它们作为一个整体向用户提供一组网络资源服务，这些单个系统就是集群的节点(node)。CIP：集群虚拟IP地址，即所有集群节点对外呈现的一个共同的IP地址。分发器：下发配置策略的主设备。在一个集群环境中，只能有一台能够成为分发器。真实服务器：配置数据从分发器上进行同步，不能修改配置数据，分发器本身也是一台真实服务器。集群名词解释

如右图两台SSLVPN设备构建一个集群环境（网关模式多线路部署图）。CIP：分发器：LAN口地址为的设备真实服务器：对应LAN地址为的设备集群部署模式介绍部署模式_简介

1、部署模式是指设备以什么样的工作模式部署到客户网络中去，不同的部署方式对客户的网络影响各有不同，具体以何种部署方式需要综合客户具体的网络环境和客户的功能需求而定。

2、SSLVPN集群支持网关（单线路和多线路）、单臂（单线路和多线路）两种工作模式。由于集群单臂多线路的使用场景比较少见，故本PPT中不给予介绍。集群部署模式介绍网关模式（单线路）集群网关模式下工作方式：

所有节点配置一个相同的WAN1口CIP地址（外网线路的真实IP或和前置防火墙同网段能通信的IP地址），和相同的LAN口CIP地址，对用户和其他网络中的设备而言，相当于是一个设备在工作。用户通过WAN1口CIP地址登录SSLVPN。每个节点设备仍然需要配置各自的LAN、WAN口真实的IP地址，用来登录各个节点设备和从分发器同步配置。集群部署模式介绍配置要求：网关模式下要求所有节点的WAN口IP地址必须在同网段（WAN口IP可以随意设置），但和WAN口CIP地址在不同网段；所有节点的LAN口IP地址和CIP在同网段。网关模式（单线路）集群部署模式介绍网关模式（多线路）集群网关多线路模式下工作方式：

所有节点配置相同的WAN1，WAN2等CIP地址（各条公网线路的真实IP地址或和前置防火墙同网段能通信的IP地址），和LAN口CIP地址，对用户和其他网络中的设备而言，相当于是一个设备在工作。用户通过各个WAN口CIP地址登录SSLVPN。每个节点设备仍然需要配置各自的LAN、WAN口真实的IP地址，用来登陆各个节点设备和从分发器同步配置。集群部署模式介绍网关模式（多线路）配置要求：网关模式下要求所有节点的WAN1口IP地址必须在同网段（WAN1口IP可随意设置），但和WAN1口CIP地址在不同网段；WAN2口IP地址必须在同网段（WAN2口IP可随意设置，必须和WAN1口IP在不同网段），但和WAN2口CIP在不同网段。所有节点LAN口IP地址和CIP地址在同网段。集群部署模式介绍单臂模式

集群单臂模式下工作方式：所有节点配置相同的LAN口CIP地址。这种情况下，需要把LAN口CIP地址映射到公网，用于提供SSLVPN用户的登录。对用户和其他网络中的设备而言，相当于是一个设备在工作。

每个节点设备仍然需要配置各自的LAN口IP地址，用来登陆各个节点设备和从分发器同步配置。集群部署模式介绍单臂模式配置要求：单臂模式下要求所有节点的LAN口IP地址和CIP地址在同一个网段，LAN口默认网关，DNS需设置正确。单线路多线路单臂模式网关模式集群部署模式配置单臂模式网络环境客户网络已经搭建好，客户已有防火墙做网关，代理内网用户上网，为了不改变客户现有网络拓扑，可以采用单臂部署实现应用服务器的发布；注意事项：需要防火墙做端口映射发布CIP地址TCP80,443端口到公网单臂部署模式配置单臂部署模式配置单臂模式配置思路1、设备信息检查：确定集群序列号已经开通，确定移动授权已经开通；2、网口配置：确定各节点设备LAN口的IP地址（，），网关地址（54）；3、集群配置：确定LAN口集群IP地址（）；在前置NAT设备做集群地址的TCP80、443端口映射到公网；单臂部署模式配置

单臂模式配置截图1、[系统配置]-[序列号管理]，集群配置是通过集群序列号激活集群功能单臂部署模式配置

单臂模式配置截图2、配置两台SSLVPN设备的工作模式、LAN口地址、网关地址和DNS地址，外网线路不需要配置。其中，LAN口地址必须和集群IP地址同网段单臂部署模式配置

单臂模式配置截图3、【系统设置】--【SSLVPN选项】--【集群部署】，启用集群部署功能，设置两台SSLVPN设备的集群部署密钥（两台密钥一致）、LAN口CIP，单臂模式下DMZ、WAN口CIP不需要配置；在分发器选举规则中，优先级高的设备做为分发器，优先级低的则成为真实服务器（优先级要有区分且不能两台设备都勾选作为分发器）网关部署模式配置网关模式单线路网络环境客户想替代现有的防火墙，或者有做代理上网的需求，可以选择网关模式，同时设备本身就具有防火墙功能，可以做防火墙使用；注意事项：SSL设备做网关的话，如果设备是用拨号上网，不支持集群。

网关部署模式配置网关模式单线路配置思路1、设备信息检查：确定集群序列号已经开通，并且有足够的移动用户授权。2、网口配置：确定各个SSL设备LAN的IP地址（，），保证SSLVPN设备能够和服务器通信（在三层环境下，设备要添加回包路由）；确定WAN口的地址和网关地址（WAN口IP可随意设置为，，WAN口网关为，和WAN口IP同网段）3、集群配置：确定LAN口集群IP地址（，和LAN口IP同网段）；确定WAN口的集群IP地址（47）和网关（），WAN口集群IP实际为公网线路IP，用于和公网通信，必须和WAN口的IP地址在不同网段，所以第二步骤中的WAN口地址和网关可以随意设置。网关部署模式配置

网关模式单线路配置截图1、[系统配置]-[序列号管理]，集群配置是通过集群序列号激活集群功能网关部署模式配置

网关模式单线路配置截图2、配置两台SSLVPN设备LAN口地址，外网线路WAN1的地址以及网关和公网DNS；其中，LAN口地址必须和CIP地址同网段，WAN口IP不能和WAN口CIP在同一个网段,如WAN口CIP地址为：47，则可以将两台SSLVPNWAN口任意配置为：/，网关地址网关部署模式配置

网关模式单线路配置截图3、【系统设置】--【SSLVPN选项】--【集群部署】，启用集群部署功能，设置两台SSLVPN设备的集群部署密钥、LAN口CIP，WAN口CIP；在分发器选举规则中，优先级高的设备做为分发器，（优先级要有区分且不能两台均勾选始终做为分发器）网关多线路部署模式配置网关模式多线路网络环境一般是客户有两条互联网线路，和网关单线路应用相似，只是多用一条互联网线路发布服务器，增加了链路的稳定性；注意：设备需要开双线路授权,WAN1口的CIP不能和WAN1口真实IP在同一网段，WAN2的真实IP也不能和WAN1的真实IP在同一网段网关多线路部署模式配置网关模式多线路配置思路1、设备信息检查：确定集群序列号已经开通，确定开双线路，移动授权已经开通；2、网口配置：确定设备LAN的IP地址（，），保证SSLVPN设备能够和服务器通信（在三层环境下，设备要回包路由）；确定WAN1、WAN2口的地址（WAN1和WAN2口IP地址随意配置，不在同网段即可），网关地址（和WAN口IP同网段3、集群配置：确定LAN口集群IP地址（）；确定WAN1口集群IP地址（47）和网关（），WAN2口的集群IP地址（46）和网关（）；WAN1和WAN2口集群IP地址，实际为两条公网线路的公网IP地址，用于和公网通信。网关多线路部署模式配置

网关模式多线路配置截图网关模式多线路，网口配置和网关单线路配置一样，唯一不同的只是多加一个WAN2口CIP地址。集群状态与负载说明

集群设置成功后如图所示，通过查看集群部署状态可以看到处于分发器和真实服务器状态的节点IP、节点类型、运行状态以及接入的移动用户数目。分布式集群分布式集群分布式集群简介分布式部署，多设备异地组成集群，是基于Internet的分布式部署，组成分布式部署后，只需要在主节点控制台上操作就可以自动把数据同步到其他从节点上，同时主节点会定时检查从节点的数据是否和自己一致，如果发现不一致会主动去将从节点的数据同步。保持整个集群环境的数据一致性。分布式部署集群通过点对点的数据同步技术，保持节点间配置数据的一致性与完整性，提供如下功能：

1、跨区域设备的统一管理2、支持统一域名最快接入3、异地备份容灾功能分布式集群分布式集群部署说明客户有多个分公司和总部内部有专线互联，服务器群在总部，且每个公司都有各自的公网线路，要实现各地移动办公，能用最快的方式接入和访问SSLVPN，那么这个情况可以采用分布式部署。分布式部署的工作方式：分布式部署通过webagent来登记和获取各个节点的配置信息，需要搭建一个webagent服务器（支持asp、php），webagent服务器是用来获取各个节点的公网IP地址，各地访问webagent接入SSLVPN时，会返回最快访问链路的节点IP给客户端，实现整网SSLVPN的统一域名接入和异地容灾。分布式集群用户接入示意图搭建一个webagent服务器（支持asp、php）用户访问下载图片比较速度Webagent地址：上传各节点地址到webagent选择深圳接入SSL三个点都部署了SANGFORSSLVPN的设备，现在需要做分布式集群部署分布式集群配置各个地区按照前面部署方式以网关或者单臂方式部署设备，搭建好webagent服务器，各个节点上传节点信息到webagent服务器，其中主节点保证各个节点数据的同步，为了保证SSLVPN接入的稳定，可采用多webagent来实现备份，分布式节点页面也只显示当前进行数据同步的webagent服务上报的节点，可以添加多个webagent，节点会向每个webagent上报IP分布式部署配置截图分布式集群一个集群只能有一个主节点，如果启用动态分配虚拟IP，需在各节点单独设置虚拟IP池分布式部署配置截图集群授权1、集群部署环境中，移动用户的总授权数目为加入该集群部署的各SSLVPN设备移动用户数目的总和。2、集群部署环境中，当某个SSLVPN设备由于宕机退出集群后，另外一台设备可以使用移动用户的总授权数目，为期60天，60天后，如果该宕机设备仍然不能加入集群，则正常运行的设备恢复原有授权数目。集群部署注意事项1、每个节点的网关序列号、短信序列号、单点登录序列号等均需要先单独配置好再加入集群。2、建议将集群中性能最好的设备配置为始终成为分发器。DMZ口的CIP不提供分发功能，只有LAN口和WAN口会提供分发功能。3、使用RADIUS认证时，RADIUS服务端需要将集群环境中每个节点的真实LAN口IP加入到验证通过的列表中。4、集群中代理上网功能由集群IP来实现，退出集群后恢复由WAN口真实IP来代理。1.什么是分发器？假如客户一共部署了5台SNAGFORSSL设备做成集群，那么这5台设备可以同时成为分发器吗？2.请描述两台SANGFORSSL设备做成单臂模式集群需要怎么设置？3.请描述分布式集群如何保证用户的接入选择的是最快的SSL设备？问题思考百万客户大拜访38一、课程目的

1、持续推动主顾300（让业务员有机会做）

2、每天完成7+3拜访（让业务员愿意做）

3、熟练掌握拜访技巧（让业务员会做）二、过程：三、内容1、理念篇--知道和不知道？2、拜访篇--心动不如行动3、话术篇--完美的拜访是设计出来的39

理念篇知道和不知道？40猜中彩41人类最大的恐惧来自于未知世界的无知不知道是一种危机，一种威胁，一种恐惧。理念之一：

42不知道的两种表现形式？？43（1）你曾拜访过的客户中，是否有各种不同的客户性格类型？（2）你是否经常变换不同的推销策略？（3）你的推销模式的成交率是多少？（4）失败的原因是客户？你？还是推销方式？你知道还是不知道？业务员的不知道44爱人同志45理念之二：

不知道是客观存在的，是认识事物的开始46

生活中对待不知道的几种态度：（1）不知道等于不存在；（没市场，没客户）（2）不知道等于无所谓；（没问题，没关系，没办法）（3）不知道等于想知道，好奇并积极的探索！47理念之三：

人的进步就在于不断的减少不知道业务员的进步就在于将自己和对客户的不知道变成知道48

理念之四：

佣金的兑现来自于拜访49理念之五心动不如行动50结论：除非你去做拜访，否则永远你都处在不知道的状态当中烦恼、恐惧和压力皆因此而生。51

拜访篇心动不如行动52丑媳妇怕见公婆一、没信心（1）对自己没信心信心是拜访出来的恐惧来自动作的陌生，而不是来自动作的难度（2）对新条款没信心不好的条款在我心里，而不是在客户眼中（3）对公司没信心事实胜于雄辩二、懒惰53推销员必备四大素质1、自信充满魔力2、热情打动顾客3、坚韧导向成功4、勇气突破障碍

这是行动的起点54成功拜访源于计划明确行为的目的按预计程序执行设计友善的气氛55拜访五要素何时何事何人何种方法何种理由成功的拜访要以充足的准备为前提。56

话术篇完善的拜访是设计出来的57

使用电话的好处节省时间省时省力，提高效率消除拒绝的恐惧容易见到准主顾使准主顾有心理准备58

电话的用途沟通信息（告知职业）联络情感约见商品简介59约见约见的目的就是获得面谈的机会60

一九八四年，麦当劳奇迹的创造者雷·克罗克与世长辞。在麦当劳总部悬挂着克罗克的座佑铭。在世界上，毅力是不可替代的；才能无法代替它，------

有才能的却失败，就是蠢才；天才无法代替它，------

没有报酬的天才只是个蠢才；教育无法代替它，------

世界上到处是受过教育的废物；只有毅力和决心，才是无所不能的。61如何设计自己的人生？没有确立目标的航船，

永远不会有顺风！62电话流程实例自我介绍---是杨秀玉小姐吗？你好，（不好意思打扰您了）我是平安